Exchange 2007 service pack 2’nin getirdiği audit özellikleri

  • Article

 

Audit güvenlik ihtiyaçlari nedeniyle giderek artan bir oranda ihtiyaç haline geliyor. Bu anlamda exchange server üzerinde bulunan mailbox'larin güvenligi ve izlenmeside önemli.

 

Kim kimin adina mail gönderebiliyor, kimler kimlerin maillerini görebiliyor vb sorular giderek daha sik sorulmaya baslandi. 

 

Exchange 2007 service pack 2 ile yeni auditing özellikleri gelmektedir. Bu özellikler ile exchange auditing eksikligini gidermis oluyor ve böylece store içerindeki hareketi loglayabiliyoruz.

 

Yeni diyebilecegimiz audit'i kisaca dört baslik altinda toplayabiliriz.

Folder Access --- Herhangi bir folder’a erisim durumunda

Message Access --- Bir mesajin açilmasi durumunda

Extended Send As --- Mailbox enabled user’in mesaj göndermesi durumunda

Extended Send On Behalf Of --- Mailbox enabled user için On Behalf Of kullanimi durmunda

Loglama saglamaktadirlar..

 

 

Bu loglar için yeni bir event log tipi olusturuyoruz ve loglari "Exchange Auditing"

adli event log biriminde biriktiriyoruz. Tabi butip eventlerin sayisi çok fazla olabilecegi ve bu veriler kaybedilmek istenmeyecegi için ihtiyaçlarimiza göre özellikle event file büyüklügüne dikkat etmek gerek.

Asagida 4 degisik eventten birer örnek ve kisa açiklamalar var.

Folder Access:

 

Event ID 10100 Veli Ali’nin Outbox’ini açmis. Her folder için ayri ayri event düsürülebildiginden çok net olarak erisimin nereye yapildigini anlayabiliyoruz.

Böylece eski 1016 eski tip event arayisina gerek kalmiyor.

 

folder access

 

 

Message Access:

Veli Ali’nin mailbox’indaki 30***EAD@e2k7-dc.e12.local message id’li mesaji ADI ve IP’si belirli client’tan outlook.exe’yi açmis.

Not: Mesaj silmeler özel bir event ile takip edilmez sadece access event’i yazilir.

Message Access

Send As:

Asagidaki eventte Veli, Ali adina mail göndermis yine client adi,ip’si ve message ID net olarak anlasiliyor.

Hangi mesaji gönderdigini hangi client’i kullandigini ve ip’sinin o anda ne oldugunu yine event’ten ek olarak edinebiliyoruz.

Send As

Send On Behalf Of:

Veli Ali adina yetkili kilinmis ancak send-as degil send on behalf. Bunuda asagidaki event’ten anliyoruz.

Send on Behalf of

Service Pack 2 release edildi.

Download:

https://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=4c4bd2a3-5e50-42b0-8bbb-2cc9afe3216a

Release Notes:

https://www.microsoft.com/downloads/details.aspx?FamilyID=ee7829a3-0ae8-44de-822c-908cd1034523&displaylang=en

Kubilay